Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Соединитель журналов служб Amazon Web Services (AWS) доступен в двух версиях: устаревший соединитель для управления CloudTrail и журналов данных, и новая версия, которая может принимать журналы из следующих служб AWS, извлекая их из контейнера S3 (ссылки на документацию AWS):
- Amazon Virtual Private Cloud (VPC) - Журналы потоков VPC
- Amazon GuardDuty - Выводы
- AWS CloudTrail - События управления и данных
- AWS CloudWatch - Журналы CloudWatch
На этой вкладке объясняется, как настроить соединитель AWS S3 с помощью одного из двух методов:
- Автоматическая настройка (рекомендуется)
- Настройка вручную
Предварительные условия
Необходимо иметь разрешение на запись в рабочей области Microsoft Sentinel.
Установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
Установите PowerShell и ИНТЕРФЕЙС КОМАНДНОй строки AWS на компьютере (только для автоматической настройки):
- Инструкции по установке PowerShell
- Инструкции по установке интерфейса командной строки AWS (из документации AWS)
Убедитесь, что журналы из выбранной службы AWS используют формат, принятый Microsoft Sentinel:
- Amazon VPC: .csv файл в формате GZIP с заголовками; разделитель: пробел.
- Amazon GuardDuty: форматы json-line и GZIP.
- AWS CloudTrail: .json файл в формате GZIP.
- CloudWatch: .csv файл в формате GZIP без заголовка. Если необходимо преобразовать журналы в этот формат, можно использовать эту лямбда-функцию CloudWatch.
Автоматическая настройка
Чтобы упростить процесс подключения, Microsoft Sentinel предоставил скрипт PowerShell для автоматизации настройки на стороне AWS соединителя — необходимых ресурсов AWS, учетных данных и разрешений AWS.
Скрипт:
Создает поставщик веб-удостоверений OIDC для проверки подлинности Microsoft Entra ID пользователей в AWS. Если поставщик веб-удостоверений уже существует, скрипт добавляет Microsoft Sentinel в качестве аудитории к существующему поставщику.
Создает роль IAM с минимальными необходимыми разрешениями, чтобы предоставить пользователям, прошедшим проверку подлинности OIDC, доступ к журналам в заданном контейнере S3 и очереди SQS.
Позволяет указанным службам AWS отправлять журналы в этот контейнер S3, а уведомления — в очередь SQS.
При необходимости для этой цели создается контейнер S3 и очередь SQS.
Настраивает все необходимые политики разрешений IAM и применяет их к созданной выше роли IAM.
Для Azure для государственных организаций облаков специализированный скрипт создает другой поставщик веб-удостоверений OIDC, которому назначается роль IAM.
Инструкции
Чтобы запустить скрипт для настройки соединителя, выполните следующие действия.
В меню навигации Microsoft Sentinel выберите Соединители данных.
Выберите Amazon Web Services S3 из коллекции соединителей данных.
Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel.
В области сведений для соединителя выберите Открыть страницу соединителя.
В разделе Конфигурация под 1. Настройте среду AWS, разверните раздел Настройка с помощью скрипта PowerShell (рекомендуется).
Следуйте инструкциям на экране, чтобы скачать и извлечь сценарий установки AWS S3 (по ссылке скачивает ZIP-файл, содержащий основной скрипт установки и вспомогательные скрипты) со страницы соединителя.
Примечание.
Для приема журналов AWS в облако Azure для государственных организаций скачайте и извлеките этот специализированный сценарий установки AWS S3 Gov.
Перед выполнением скрипта выполните команду из командной
aws configureстроки PowerShell и введите соответствующие сведения в соответствии с запросом. См . интерфейс командной строки AWS | Сведения об основах конфигурации (из документации AWS).Теперь запустите скрипт. Скопируйте команду со страницы соединителя (в разделе "Запуск скрипта для настройки среды") и вставьте ее в командную строку.
Сценарий предложит ввести идентификатор рабочей области. Этот идентификатор отображается на странице соединителя. Скопируйте его и вставьте в командной строке скрипта.
Когда скрипт завершит выполнение, скопируйте ARN роли и URL-адрес SQS из выходных данных скрипта (см. пример на первом снимке экрана ниже) и вставьте их в соответствующие поля на странице соединителя в разделе 2. Добавьте подключение (см. второй снимок экрана ниже).
Выберите тип данных в раскрывающемся списке Целевая таблица . Это сообщает соединителю о том, какие журналы службы AWS устанавливает это подключение для сбора и в какой таблице Log Analytics хранятся данные приема. Затем выберите Добавить подключение.
Примечание.
Выполнение скрипта может занять до 30 минут.
Настройка вручную
Для развертывания этого соединителя рекомендуется использовать скрипт автоматической настройки. Если по какой-либо причине вы не хотите воспользоваться этим удобством, выполните приведенные ниже действия, чтобы настроить соединитель вручную.
Настройте среду AWS, как описано в статье Настройка среды Amazon Web Services для сбора журналов AWS для Microsoft Sentinel.
В консоли AWS:
Введите службу Управления удостоверениями и доступом (IAM) и перейдите к списку Ролей. Выберите созданную ранее роль.
Скопируйте ARN в буфер обмена.
Введите службу простых очередей, выберите созданную очередь SQS и скопируйте URL-адрес очереди в буфер обмена.
В Microsoft Sentinel выберите Соединители данных в меню навигации.
Выберите Amazon Web Services S3 из коллекции соединителей данных.
Если соединитель не отображается, установите решение Amazon Web Services из Центра содержимого в Microsoft Sentinel. Дополнительные сведения см. в статье Обнаружение и управление Microsoft Sentinel готового содержимого.
В области сведений для соединителя выберите Открыть страницу соединителя.
Под 2. Добавить подключение:
- Вставьте ARN роли IAM, скопированную ранее два шага, в поле Роль для добавления .
- Вставьте URL-адрес очереди SQS, скопированной на последнем шаге, в поле URL-адрес SQS .
- Выберите тип данных в раскрывающемся списке Целевая таблица . Это сообщает соединителю о том, какие журналы службы AWS устанавливает это подключение для сбора и в какой таблице Log Analytics хранятся данные приема.
- Выберите Добавить подключение.
Известные проблемы и устранение неполадок
Известные проблемы
Журналы разных типов могут храниться в одном контейнере S3, но не должны храниться в одном пути.
Каждая очередь SQS должна указывать на один тип сообщения. Если вы хотите принимать результаты GuardDuty и журналы потоков VPC, настройте отдельные очереди для каждого типа.
Одна очередь SQS может обслуживать только один путь в контейнере S3. Если журналы хранятся в нескольких путях, для каждого пути требуется собственная выделенная очередь SQS.
Устранение неполадок
Узнайте, как устранять неполадки с соединителем Amazon Web Services S3.
Отправка форматированных событий CloudWatch в S3 с помощью лямбда-функции (необязательно)
Если журналы CloudWatch не поддерживают формат, принятый Microsoft Sentinel ( .csv файл в формате GZIP без заголовка), используйте лямбда-функцию просмотра исходного кода в AWS для отправки событий CloudWatch в контейнер S3 в принятом формате.
Лямбда-функция использует среду выполнения Python 3.12 и архитектуру x86_64.
Чтобы развернуть лямбда-функцию, выполните следующие действия:
В консоли управления AWS выберите лямбда-службу.
Выберите Создать функцию.
Введите имя функции и выберите Python 3.12 в качестве среды выполнения и x86_64 в качестве архитектуры.
Выберите Создать функцию.
В разделе Выберите слой выберите слой и нажмите кнопку Добавить.
Выберите Разрешения и в разделе Роль выполнения выберите Имя роли.
В разделе Политики разрешений выберите Добавить разрешения>Присоединить политики.
Найдите политики AmazonS3FullAccess и CloudWatchLogsReadOnlyAccess и подключите их.
Вернитесь к функции, выберите Код и вставьте ссылку на код в разделе Источник кода.
Значения по умолчанию для параметров задаются с помощью переменных среды. При необходимости эти значения можно настроить вручную непосредственно в коде.
Выберите Развернуть, а затем — Тест.
Создайте событие, заполнив обязательные поля.
Выберите Тестировать , чтобы увидеть, как событие отображается в контейнере S3.
Дальнейшие действия
В этом документе вы узнали, как подключаться к ресурсам AWS, чтобы принимать их журналы в Microsoft Sentinel. Дополнительные сведения о Microsoft Sentinel см. в следующих статьях:
- Узнайте , как получить представление о данных и потенциальных угрозах.
- Приступая к обнаружению угроз с помощью Microsoft Sentinel.
- Используйте книги для мониторинга данных.